IIS
IIS是Internet Information Services的缩写,意为互联网信息服务,是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。
IIS目前只适用于Windows系统,不适用于其他操作系统。
配置安全
PUT任意文件写入
IIS Server 在 Web 服务扩展中开启了 WebDAV之后,支持多种请求,配合写入权限,可造成任意文件写入。
这里用下墨者的靶场
1.访问漏洞地址,进行抓包,修改请求方法(这里就是对HTTP协议的理解了,我是没想到)。看到返回包,有DAV和支持的请求方式
2.PUT上传,显示201 created表示创建成功。
3.MOVE移动,这里不要在意返回数据包。
4.利用后门连接工具连接,我用的蚁剑,得到key。